パスワードを忘れた? アカウント作成
13705608 story
Google

Googleオフィスで導入されていたIoT錠、従業員によってハックされる 17

ストーリー by hylom
Googleにバックドア 部門より
あるAnonymous Coward曰く、

Googleのオフィスの扉で採用されているネットワーク接続型の錠(スマートロック)には脆弱性があり、ネットワーク経由で悪意のあるコードを送信することで開錠できてしまったという(ForbesGIGAZINESlashdot)。

この錠は本来はRFIDを使ったカードキーを使って開錠するもので、ネットワーク経由で開錠状況を記録する機能があるというもののようだ。しかし、今回発見された脆弱性では外部から開錠ができるだけでなく、記録を残さずに開錠したり、勝手に施錠することもできたという。

この錠はSoftware Houseというメーカーのもので、発見された脆弱性はすでに報告され対応が進んでいるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • マップで見ると確かに自宅の座標になっているのに指紋認証かパスワード認証でないとロック解除できなかったり、外出先でワンタップでロック解除できてしまったり。
    再起動で正しく動くようになったりならなかったり。
    一番納得いかないのは指紋認証がついているのに定期的にパスワードを要求されること。
    パスワード入力という手間を省きたいから生体認証使うのにデザインとしてどうなのよ。

    • by Anonymous Coward

      どうだろうね。
      Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
      スリープからだと指紋でいいんだけどね。
      パスワード管理の1passwordも定期的にマスターパスワード入力を求めてくる。

      いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
      定期的に頭の中にしかないパスワードで本人確認するのもありではない?

      • by Anonymous Coward

        > Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。

        Android も電源投入後の初回はパスワードかパターンとか求められるんだよね。
        理由はわからんが、Apple も google もってことは、なんか理由があるんだろうな。
        でも Windows Hello は電源投入直後も、使えちゃうんだよな。

        • by Anonymous Coward

          パスワードを忘れさせないように、でしょうね。

          歳をとると、たまにパスワード入れないと忘れてしまうんですよ。若い人には想像もつかないでしょうが

          • by Anonymous Coward

            当方17歳と500ヵ月の若い人だが、けっこう忘れるな

      • by Anonymous Coward

        どうだろうね。
        Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
        スリープからだと指紋でいいんだけどね。
        パスワード管理の1passwordも定期的にマスターパスワード入力を求めてくる。

        いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
        定期的に頭の中にしかないパスワードで本人確認するのもありではない?

        > いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
        駄目。そもそも生体認証は認証と名前が付いてるけど本人認証としては欠陥品。
        "常時晒しっぱなしでそこら中にバラ撒いてる上にシステム毎に新しく用意する事もできない物"を認証鍵として使う
        と言えば根本的に間違っているのがよく分かると思う。
        悪名高いガラケーの簡単ログイン類 [takagi-hiromitsu.jp]と同じ問題を抱えている。
        端末買い換える

    • by Anonymous Coward

      指紋は簡単に流出する上に変更もできず、認証手段としてはイマイチなのです。
      だから指紋認証以外の手段と併用するようにしてるのでしょう。

      • by Anonymous Coward
        指紋・網膜・静脈パターンと生体認証は色々あるけど、結局主流と言えるほどのはないよね。
  • by Anonymous Coward on 2018年09月06日 16時50分 (#3475370)

    まあでもこういう人がいるからセキュリティが固くなってくのも事実よね。

    • by Anonymous Coward

      いっそのこと、google自身で鍵作ればいいのに
      # ファインマンが鍵作ったら、どんなのが出来たろうかなと妄想

      • by Anonymous Coward

        機械錠作りそう、金庫破りが趣味とか読んだ記憶あるし

        • by Anonymous Coward

          そうそう。
          今で言うソーシャルハックのようなことも駆使されていましたね。

      • by Anonymous Coward

        今回のようなスマートキーではないけど、
        セキュリティ機器という意味では、Titanとか自分で作り始めてる。
        Yubicoさんが涙目だろう・・・

        今後他の業者も駆逐されていくか。

        • by Anonymous Coward

          Titanは飛天にGoogle印をつけただけでは……
          それにFIDO以外のこともできるYubicoの方が優位性あるんだけどな。NFCだし

  • by Anonymous Coward on 2018年09月06日 17時36分 (#3475411)

    報告せずに悪用することのない善良な従業員。

    • by Anonymous Coward

      しかし会社は…

      • by Anonymous Coward

        しかし会社は…

        社訓ですのでモーマンタイ

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...